Rekenkamercommissie Gemert-Bakel/Laarbeek adviseert gemeenteraden over informatieveiligheid
Laarbeek/Gemert-Bakel - De gemeenteraden van Gemert-Bakel en Laarbeek hebben sinds enkele jaren een gezamenlijke rekenkamercommissie. Deze onafhankelijke rekenkamercommissie ondersteunt de gemeenteraden bij hun controlerende taak door het verrichten van onderzoek. Eind vorig jaar heeft een onderzoek naar de informatieveiligheid plaatsgevonden binnen beide gemeenten.
In de raadscommissies Algemene Zaken, resp. Financiƫn & Bestuur zijn de bevindingen gepresenteerd op dinsdag 7 mei. John Verhoeven, voorzitter van de rekenkamercommissie licht toe: "We willen graag bevestigd krijgen dat beide gemeenten voldoende voorbereid zijn op bedreigingen en de colleges B&W voldoende handvatten hebben om bij uitdagingen te handelen. Daar kunnen de raden hun voordeel mee doen."
Grip op informatieveiligheid en privacy regelgeving
De taken, bevoegdheden en verantwoordelijkheden van colleges van B&W op het gebied van informatiebeheer en informatiebeveiliging, zijn sterk toegenomen de laatste jaren. "Zeker met het oog op de geactualiseerde Europese privacyregelgeving per 25 mei 2018, de AVG. Dit is complexe materie met voor burgers en gemeenten belangrijke regels en handvatten over hoe om te gaan met het verwerken van persoonsgegevens en voorzien van stevige boetebepalingen", aldus Jeroen Sanders, lid van de rekenkamercommissie. "Hoe nu bevestigd te krijgen dat de gemeente voldoende is voorbereid op deze bedreigingen, relevante aandachtspunten helder zijn en colleges van B&W voldoende handvatten hebben voor het aangaan van deze uitdagingen? Daarom hebben we het initiatief genomen een onderzoek te laten uitvoeren naar de wijze waarop de colleges grip hebben op informatieveiligheid en het voldoen aan de actuele privacy regelgeving," aldus John Verhoeven, voorzitter.
Opzet onderzoek
De rekenkamercommissie heeft twee centrale onderzoeksvragen geformuleerd:
1. In hoeverre is de (digitale) informatiebeveiliging van de gemeenten Gemert-Bakel en Laarbeek in de praktijk op orde?
2. Zijn beide gemeenten alert en actief genoeg om de informatiebeveiliging oplossingsgericht te verbeteren en kan de raad ervan op aan dat het goed gaat?
Het onderzoek heeft als doelstelling inzicht te krijgen in de wijze waarop het college van B&W een organisatie heeft ingericht, medewerkers heeft betrokken en technische en/of procedurele maatregelen heeft getroffen reeds, als onderdeel van de planning & control cyclus, ingerichte verantwoordingen en uitgevoerde audits. Oftewel de mate waarin de gemeenten nu al beschikken over een ingerichte organisatie voor het realiseren van informatieveiligheid en het kunnen voldoen aan de AVG.
Hierbij is nadrukkelijk bepaald dat er binnen het onderzoek geen technische testen plaatsvinden maar de onderzoeker enkel inventariseert welke maatregelen de gemeenten zelf hebben genomen en welk informatie over de kwaliteit van de inrichting daarvan al voorhanden is.
Procedure
"Het is gebruikelijk dat bij het opleveren van het onderzoek de resultaten eerst gecontroleerd worden door de ambtelijke organisatie van de gemeenten of er geen feitelijke onjuistheden per abuis zijn ingeslopen. Daarna wordt het rapport voorgelegd aan de colleges B&W die hun formele reacties geven. Vervolgens brengt de rekenkamercommissie het rapport naar de raad via de commissies met als doel dat de raadsleden en fracties er zoveel mogelijk hun voordeel mee kunnen doen", aldus Verhoeven.
Bevindingen
Het onderzoeksbureau dat het onderzoek naar de informatieveiligheid heeft uitgevoerd, heeft geconstateerd dat beide gemeenten hun zaken goed op orde hebben. Verder zijn er nog de volgende aandachtspunten:
1. Het risicomanagement vraagt nog wat aandacht;
2. Het beleid moet worden geactualiseerd voor de komende jaren;
3. Daarop aansluitende maatregelen of uitwerking van bestaande maatregelen moet(en) plaatsvinden;
4. Op basis van de uitkomsten van een nulmeting uit 2014 de nodige verbeterslagen hebben plaatsgevonden;
5. Binnen de organisaties de aandacht voor informatiebeveiliging is belegd en ook bij een incident tot en met de gemeenteraad is opgeschakeld;
6. Op beleid en procedureel niveau een en ander meer in detail kan worden gestandaardiseerd en uitgewerkt.
Aanbevelingen
De bevindingen maken dat de gezamenlijke rekenkamercommissie de volgende aanbevelingen heeft voor de gemeenteraden van Laarbeek en Gemert-Bakel.
1. Voer een afhankelijkheden- en kwetsbaarheden analyse uit om vast te stellen welke systemen kritiek zijn en specifieke beveiligingsmaatregelen vergen om de beschikbaarheid, betrouwbaarheid en vertrouwelijkheid te kunnen garanderen.
2. Richt een risicomanagementproces in voor het identificeren, analyseren en evalueren van risico's en voor het bepalen van de risicohouding: accepteren of maatregelen treffen.
3. Leg op korte termijn een geactualiseerd informatiebeveiligingsbeleid vast met de uitkomsten van de nog uit te voeren risicoanalyse en aandachtspunten van ons onderzoek mee.
4. Voer een nieuwe nulmeting informatiebeveiliging uit aan de hand van het nieuwe beleid om vast te stellen welke risico's en aandachtspunten aanwezig zijn.
5. Leg procedures rond kritieke beheertaken als wijzigingenbeheer, toegangsbeheer en incidentenbeheer vast.
6. Completeer de bewerkersovereenkomsten met leveranciers.
7. Vorm inhoudelijk een beeld ten aanzien van de huidige status van de implementatie van de AVG maatregelen.
Vervolg
In de commissies van 7 mei is het rapport in beide gemeenten toegelicht en besproken. Daarna gaat het naar de raadsvergadering van 16 mei in Laarbeek en de raadsvergadering van 22 mei in Gemert-Bakel. Wanneer de raden de bevindingen van het onderzoek vaststellen, kunnen de colleges van beide gemeenten gevraagd worden wanneer en hoe het informatiebeleid wordt aangepast en of het van belang is extra middelen te reserveren.
Meer over de gezamenlijke Rekenkamercommissie Gemert-Bakel/Laarbeek
De gemeenteraden van Gemert-Bakel (ca. 30.000 inwoners) en Laarbeek (ca. 22.000 inwoners) hebben een gezamenlijke rekenkamercommissie ingesteld. Deze onafhankelijke rekenkamercommissie ondersteunt de gemeenteraden bij hun controlerende taak door het (laten) verrichten van onderzoek. Zij voert beleidsevaluaties en doelmatigheidsonderzoeken uit om daarmee een bijdrage te leveren aan de doeltreffendheid van het gemeentelijke beleid en aan de doelmatige en rechtmatige voorbereiding en uitvoering daarvan. Hiermee is de commissie een instrument van de gemeenteraden om de controlerende en kader stellende rol als volksvertegenwoordiging concreet vorm te geven. De uitvoering van onderzoeken wordt (veelal) uitbesteed, maar de commissie voert actief de regie over het onderzoekswerk en onderhoudt contacten met de raad en het college van burgemeester en wethouders. Het onderzoek wordt uitgevoerd in nauwe samenwerking met de raad: 'leren en verbeteren' vanuit een positief kritische grondhouding staan hierbij centraal.